全部产品
Search

搜索本产品

    Security Center:Gunakan fitur pencegahan webshell dalam memori

    文档中心

    Security Center:Gunakan fitur pencegahan webshell dalam memori

    更新时间:Jul 02, 2025

    Webshell dalam memori adalah program jahat yang hanya berjalan di dalam memori tanpa menulis ke disk. Karakteristik ini memungkinkannya meluncurkan serangan secara tersembunyi dan menghindari deteksi oleh metode antivirus konvensional. Fitur Perlindungan Aplikasi menggunakan teknologi Runtime Application Self-Protection (RASP) untuk mendeteksi dan memblokir injeksi serta eksekusi webshell dalam memori dengan menganalisis data memori. Topik ini menjelaskan cara menggunakan fitur pencegahan webshell dalam memori.

    Prasyarat

    Aplikasi Java telah ditambahkan ke fitur Perlindungan Aplikasi, dan instance aplikasi berada dalam status Berwenang. Untuk informasi lebih lanjut, lihat Gunakan Fitur Perlindungan Aplikasi.

    Cara kerjanya

    Fitur pencegahan webshell dalam memori dapat memeriksa keberadaan webshell dalam memori pada instance aplikasi berwenang dalam kelompok aplikasi tertentu, serta mendeteksi injeksi dan eksekusi webshell tersebut. Fitur ini memberikan perlindungan melalui mesin deteksi berikut:

    • Deteksi Webshell dalam Memori: Mesin ini memindai memori untuk kode jahat guna membantu mendeteksi ancaman tersembunyi dan menampilkan peringatan untuk webshell dalam memori yang terdeteksi di konsol Security Center. Untuk mengaktifkan mesin ini untuk kelompok aplikasi, nyalakan In-memory Webshell Detection. image

    • Injeksi webshell dalam memori: Mesin ini memantau dan memblokir perilaku yang disebabkan oleh webshell dalam memori secara real-time, seperti injeksi dan eksekusi webshell. Jika In-memory Webshell Injection termasuk dalam jenis ancaman yang ditentukan dalam kebijakan perlindungan kelompok aplikasi, Anda dapat mengaktifkan mesin ini untuk kelompok aplikasi tersebut. Saat mesin diaktifkan dan parameter Protection Mode diatur ke Monitor, mesin akan menghasilkan peringatan ketika mendeteksi ancaman tetapi tidak memblokirnya. Namun, jika parameter Protection Mode diatur ke Block, mesin akan menghasilkan peringatan dan memblokir panggilan mencurigakan yang terdeteksi. Untuk melindungi berbagai jenis middleware dari webshell dalam memori, mesin ini menyediakan metode berikut:

      • Pemblokiran Sebelum Injeksi Webshell dalam Memori: Fitur Perlindungan Aplikasi memantau fungsi API sensitif untuk mengidentifikasi dan memblokir upaya injeksi secara real-time. Misalnya, fitur ini memblokir serangan ketika penyerang mengeksekusi ekspresi atau meluncurkan serangan deserialisasi, mencegah webshell meresap ke dalam konteks aplikasi.

      • Pemblokiran Sebelum Eksekusi Webshell dalam Memori: Jika webshell melewati fase pemblokiran awal dan mencoba berjalan di dalam memori, fitur Perlindungan Aplikasi menggunakan teknologi pembelajaran mendalam dan pengenalan perilaku untuk mendeteksi dan memblokir eksekusinya. Teknologi ini membandingkan aktivitas terhadap database karakteristik jahat yang dikenal, memastikan operasi bisnis normal tidak terganggu. Bahkan jika webshell diinjeksikan ke dalam sistem, penyerang tidak dapat mengendalikan sistem.

    Lihat dan tangani peringatan

    Secara default, fitur Perlindungan Aplikasi mengaktifkan deteksi webshell dalam memori untuk semua kelompok aplikasi. Setelah menambahkan aplikasi ke fitur ini, Anda dapat melakukan operasi berikut untuk melihat dan menangani peringatan yang dihasilkan.

    1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Application Protection.

    3. Di tab In-memory Webshell Prevention halaman Application Protection, tentukan kelompok aplikasi yang diperlukan dan rentang waktu.

    4. Lihat statistik di bagian In-memory Webshell Alert Trend dan In-memory Webshell Distribution, serta lihat peringatan pada tab berikut:

      • Alert for In-memory Webshell Detection: Menampilkan peringatan untuk file webshell dalam memori statis yang dideteksi oleh mesin deteksi webshell dalam memori. Daftar berikut menjelaskan status peringatan:

        • Unhandled: Menunjukkan bahwa file webshell dalam memori terdeteksi oleh mesin deteksi webshell dalam memori. Anda harus menangani peringatan secara manual sesegera mungkin.

        • Automatic: Dilabeli sebagai Diblokir. Status ini menunjukkan bahwa mesin injeksi webshell dalam memori mendeteksi berjalannya file webshell dalam memori dan memblokir eksekusinya. Fitur Perlindungan Aplikasi secara tepat memblokir webshell dan mencegah eksekusi berikutnya. Anda dapat me-restart aplikasi yang terpengaruh untuk membersihkan file webshell dalam memori yang terdeteksi.

        • Unhandled: Dilabeli sebagai Dipantau. Status ini menunjukkan bahwa mesin injeksi webshell dalam memori mendeteksi berjalannya file webshell dalam memori yang memicu peringatan dan memblokir eksekusinya berdasarkan mode perlindungan yang ditentukan untuk kelompok aplikasi. Anda dapat mengaktifkan fitur pencegahan webshell dalam memori untuk kelompok aplikasi tersebut.

        Daftar berikut menjelaskan status Aktif dan Tidak Aktif dari peringatan:

        • Aktif: Instance aplikasi tempat peringatan dihasilkan sedang online.

        • Tidak Aktif: Instance aplikasi tempat peringatan dihasilkan sedang offline.

      • Alert for In-memory Webshell Insertion: Menampilkan peringatan untuk ancaman yang dideteksi oleh mesin penyisipan webshell dalam memori.

    5. Temukan peringatan yang ingin Anda kelola, klik Details di kolom Tindakan untuk melihat Details dan Alert Analysis dari webshell dalam memori yang terdeteksi, dan putuskan apakah Anda perlu menangani webshell tersebut.

      • Di tab Details, aktifkan saklar Decompiled Java File untuk melihat kode sumber program Java yang berjalan di dalam memori. Jika saklar ini dimatikan, Security Center tidak akan menampilkan kode terdecompile.

      • Di tab Alert Analysis, Anda dapat menemukan analisis berbasis AI dari kode yang berjalan di dalam memori, bersama dengan bukti jelas dari keberadaan webshell dalam memori. Informasi ini memungkinkan evaluasi yang tepat apakah webshell yang teridentifikasi menimbulkan ancaman signifikan, meningkatkan kemampuan deteksi dan efisiensi respons.

        Penting

        Anda harus mengaktifkan saklar Decompiled Java File untuk mengakses tab Alert Analysis. Fitur analisis peringatan mungkin memproses file Java terdecompile.

    6. Anda dapat menggunakan salah satu metode berikut untuk menangani peringatan:

      • Tangani secara manual webshell dalam memori yang terdeteksi: Restart aplikasi yang terpengaruh selama jam-jam sepi untuk membersihkan webshell dalam memori. Setelah membersihkan webshell, atur metode penanganan peringatan menjadi Mark as Handled.

      • Aktifkan perlindungan dengan beberapa klik: Ubah mode perlindungan kelompok aplikasi tempat server yang terpengaruh milik ke Block. Setelah mengaktifkan mode Blokir, sistem secara otomatis memblokir semua injeksi dan eksekusi webshell dalam memori di kelompok aplikasi dalam deteksi berikutnya.

      • Abaikan: Jika Anda tidak ingin menangani peringatan, atur metode penanganan peringatan menjadi Ignore di konsol Security Center.

      • Tambahkan peringatan ke daftar putih: Pergi ke tab Attack Alerts, temukan peringatan yang diperlukan, lalu klik Handle di kolom Tindakan untuk menambahkan peringatan ke daftar putih. Untuk informasi lebih lanjut, lihat Tambahkan Peringatan Serangan ke Daftar Putih.

        Catatan

        Peringatan untuk Deteksi Webshell dalam Memori tidak dapat ditambahkan ke daftar putih.

      Aktifkan atau nonaktifkan fitur pencegahan webshell dalam memori

      Anda dapat mengaktifkan atau menonaktifkan fitur pencegahan webshell dalam memori untuk kelompok aplikasi. Untuk mengaktifkan dan menonaktifkan fitur, lakukan operasi berikut:

      1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

      2. Di panel navigasi sisi kiri, pilih Protection Configuration > Application Protection.

      3. Di tab Application Configurations halaman Application Protection, temukan kelompok aplikasi yang ingin Anda kelola dan klik Protection Policy di kolom Tindakan.

      4. Di tab Protection Policy panel Protection Policy, pilih kelompok kebijakan perlindungan yang tipe deteksi ancamannya mencakup In-memory Webshell Injection atau kelompok kebijakan perlindungan yang tipe deteksi ancamannya tidak mencakup Injeksi Webshell dalam Memori.

        Jika Anda memilih kelompok kebijakan perlindungan yang tipe deteksi ancamannya mencakup In-memory Webshell Injection, mesin injeksi webshell dalam memori diaktifkan. Jika Anda menyetel parameter Protection Mode ke Monitor, sistem menghasilkan peringatan tetapi tidak memblokir ancaman. Jika Anda menyetel parameter Protection Mode ke Block, sistem menghasilkan peringatan untuk dan memblokir injeksi serta eksekusi webshell dalam memori.

        image

      5. Di tab Detection Policy panel Protection Policy, aktifkan atau nonaktifkan In-memory Webshell dan klik OK.

        Setelah mengaktifkan Deteksi Webshell dalam Memori, sistem dapat mendeteksi webshell dalam memori di kelompok aplikasi.

        image